摘要
惡意軟件是一種持續存在的網絡安全威脅,它越來越多地通過復雜的攻擊向量,瞄準互連的數字系統,如桌面、移動和物聯網平臺。通過利用這些漏洞,攻擊者會損害現代數字生態系統的完整性和彈性。為了應對這一風險,安全專家積極采用基于機器學習或深度學習的策略,整合靜態、動態或混合方法來對惡意軟件實例進行分類。盡管這些方法具有優勢,但它們也存在固有的缺點,并且惡意軟件變種不斷演變,復雜性日益增加,因此需要改進檢測策略。基于可視化的技術正在成為可擴展且可解釋的解決方案,用于檢測和理解跨各種平臺(包括桌面、移動、物聯網和分布式系統)的惡意行為,以及通過分析網絡數據包捕獲文件。在這項對100多篇高質量研究文章的全面調查中,我們評估了應用于惡意軟件檢測和分類的現有基于可視化的方法。作為首要貢獻,我們提出了一個新的全方位框架,以研究基于可視化的惡意軟件檢測技術的概貌。在這個框架內,我們系統地分析了惡意軟件檢測流水線關鍵階段的最新方法。通過不僅分析單一技術,還分析它們如何組合以產生最終解決方案,我們闡明了基于可視化的方法中的主要挑戰,并提供了對這一關鍵領域的發展和潛在未來方向的見解。
基于可視化的惡意軟件檢測、神經網絡、對抗性攻擊、概念漂移、基于可視化的惡意軟件檢測綜述
1 引言
惡意軟件樣本正變得日益復雜,經常采用混淆和多態技術來逃避傳統的基于簽名和基于行為的檢測。此外,由于對技術和連接性的依賴日益增加,惡意軟件分析師注意到針對各種類型基礎設施的攻擊范圍和強度都有所擴大。特別是Windows惡意軟件,由于其普遍存在以及可能造成的重大經濟損失,以及其對主權國家安全構成的威脅,已成為一個關鍵的關注領域。Windows仍然是惡意軟件攻擊最多的操作系統,2024年勒索軟件攻擊增加了2.75倍,其中92%的攻擊影響了Windows設備[99]。此外,2025年的威脅行為者越來越多地通過人工智能驅動的惡意軟件來利用Windows漏洞[110]。Windows系統在個人、企業和政府環境中的廣泛使用,使其成為攻擊者尋求利用操作系統和相關軟件漏洞的主要目標[41]。
其他平臺,如安卓,也不安全,并且近年來在手機廣泛普及后,安卓惡意軟件的增加也已被觀察到[25]。針對安卓設備的威脅在某些方面與針對Windows設備的威脅有所不同。首先,安卓移動設備的普及和廣泛應用使其成為網絡犯罪分子的一個有吸引力的目標,而Windows惡意軟件歷來針對的是臺式電腦。此外,安卓平臺的開放性使得惡意應用程序更容易傳播。再者,安卓惡意軟件通常使用特定于移動環境的不同技術和漏洞。惡意軟件通過各種手段在桌面和移動平臺上傳播。在桌面上,它可以通過惡意的電子郵件附件、被入侵的網站或受污染的軟件下載來滲透系統。一旦存在,惡意軟件會利用漏洞、自我復制,并將其影響范圍擴展到連接的設備和網絡[8]。在移動平臺上,惡意軟件通常偽裝成合法的應用程序或利用第三方應用商店。用戶在不知情的情況下安裝這些有害的應用程序,從而授予對敏感數據或設備控制的訪問權限。其他的傳播途徑包括短信、網絡釣魚鏈接和被入侵的Wi-Fi網絡,這突顯了PC和移動平臺用戶面臨的巨大風險[70]。
惡意軟件的另一個滋生地是物聯網領域。惡意軟件通過利用互聯系統中的漏洞在物聯網設備中傳播,使其能夠迅速滲透并破壞大量智能設備。物聯網生態系統的互聯互通特性為惡意軟件的迅速傳播提供了沃土,因此需要采取強有力的安全措施來降低這些風險[141]。
在此背景下,安全研究人員面臨著打擊廣泛惡意軟件活動以及防范新型和已知惡意軟件的挑戰。然而,面對不斷演變的威脅,依賴于簽名的傳統方法已顯得不足。攻擊者采用復雜的方法,例如多態和變形惡意軟件,通過改變其代碼來避免被檢測。因此,對諸如行為分析、機器學習和動態分析等創新技術的需求日益增長。這些方法提供了對惡意軟件行為的更深入見解,使分析人員能夠更好地檢測和響應威脅。
在本文中,我們專注于一個特定的方面,即使用惡意軟件可視化進行惡意軟件分類,這是一種新穎且先進的惡意軟件分析方法。隨著深度學習和基于圖像的分析的結合,近年來,可視化方法在為各種機器學習任務(包括惡意軟件分類[144])創建可解釋的結果方面顯示出巨大的前景。特別是,卷積神經網絡(CNN)在惡意軟件分類中非常有效,因為它們能夠從樣本的二進制表示中提取特征,而無需領域專家的幫助。
我們綜述了基于機器學習的惡意軟件分類在各個平臺上的最新技術,重點關注過去七年(2018年至2025年)發表的高質量作品。我們根據基于可視化的惡意軟件分類的基本步驟對研究文獻進行分類,這些步驟包括:數據集收集、圖像生成、特征提取、分類、評估、模型魯棒性和適應性。此外,我們探討了與此方法相關的挑戰,包括對大型多樣化數據集的需求以及對抗性攻擊的可能性,以及可解釋性最重要的技術。盡管人們越來越感興趣,但基于可視化的惡意軟件檢測仍然是一個相對年輕的領域。因此,通過更深入地了解基于機器學習的惡意軟件分類方法的優勢和局限性,我們可以更好地評估它們在提高惡意軟件分析的準確性和效率方面的潛力。通過我們對文獻的調查,我們全面概述了該領域當前的最新技術,提出了最佳實踐,并幫助統一未來的研究,從而確定了未來發展的領域。總而言之,本次調查的主要貢獻如下。
1. 據我們所知,我們是第一個對現有研究進行全面且方法嚴謹的調查,這些研究采用基于可視化的技術進行惡意軟件檢測,并圍繞以下方面進行組織:
基于可視化的惡意軟件檢測調查提出了一個統一的框架,該框架捕捉了現有方法的主要特征,并能夠進行系統的比較、趨勢分析和識別研究差距。
2. 我們從眾多基于圖像的具體方法中提煉出基于可視化的惡意軟件檢測的整個流程。這為讀者提供了一個概述,有助于理解基于可視化的方法的一般過程。該概述涵蓋了所使用的數據集、圖像表示、特征處理技術、模型生成、性能評估以及關于魯棒性和模型適應性的考慮。
3. 我們探討了應用于惡意軟件檢測的各種可視化技術在可解釋性方面的各個方面,提供了寶貴的見解。
4. 為了更深入地理解基于可視化惡意軟件檢測中的對抗性攻擊以及現有的防御措施,我們系統地調研了各種最先進的方法。這包括探索基于機器學習的惡意軟件分類器、深度學習分類器上的對抗性攻擊方法,以及增強基于可視化惡意軟件分類器對抗魯棒性的防御策略。
5. 我們將深入探討當前研究中存在的差距,并全面探索基于可視化的惡意軟件分析和檢測領域未來研究的挑戰和方向。此討論為讀者提供了開發創新解決方案的潛在途徑。
本調查的組織結構如下。第2節介紹相關調查,第3節概述為進行本次調查而采取的方法。在第4節中,我們概述了關于惡意軟件檢測和分類技術的主要背景概念。第5節根據基于可視化的惡意軟件分類的步驟,即數據集收集、圖像生成、特征提取、分類和評估,描述了當前的文獻分類。特別是在第5.1節中,我們研究了最常用的關于惡意軟件的數據集。第5.2節討論了利用通過靜態和動態分析方法獲得的不同文件擴展名,將惡意軟件文件轉換為圖像的技術。在第5.3節中,我們探討了研究人員如何處理特征,然后將其用作分類器的輸入。第5.4節專門描述了用于通過提取的特征對圖像進行分類的各種機器學習方法。第5.5節討論了作者如何決定評估他們的分類器,將其結果與其他研究人員的結果進行比較,考慮相關參數,并評估所做的選擇是否公平。第5.6節描述了模型的魯棒性和適應性,特別是針對針對基于可視化的惡意軟件檢測器的對抗性攻擊。在第6節中,我們探討了惡意軟件分類背景下的可解釋性問題,研究了作者如何解決這個問題,并為這種情況提出了潛在的改進方案。第8節列出了我們調查中獲得的經驗教訓。第9節考察了幾個開放的挑戰,并為未來研究的可能方向提供了視角。最后,第10節對基于圖像的惡意軟件分類領域的研究現狀進行了一些總體考慮,并試圖為 ??? 移動提供建議。
2 相關工作
本節概述了探索視覺惡意軟件分類的綜述。對于每項綜述,我們都對其優缺點進行了描述。值得注意的是,大多數綜述都涉及惡意軟件檢測中的通用技術,只有少數綜述涉及視覺惡意軟件圖像的可視化,盡管范圍更廣的綜述中簡要提到了這一概念。表 1 總結了所回顧的綜述,其中我們考慮了發表年份、分析的論文數量以及工作的主要范圍(即圖像生成技術分析、特征提取器分析、分類器分析、可解釋性分析、可持續性分析、不同訓練方法分析、數據集覆蓋率、對抗性攻擊分析、少樣本分析、指標分析)。
2.1 機器學習與惡意軟件檢測綜述
在[77]中,作者對應用于惡意軟件分類和檢測的機器學習模型進行了廣泛的考察。該綜述的主要重點并非專門針對可視化方法。新興和流行的挑戰,如可解釋性和可持續性,被簡要提及。盡管存在這些局限性,該綜述仍然是一個有價值的起點,提供了惡意軟件分類和檢測中使用的傳統機器學習和深度學習工作流程的概述。Ucci等人在[207]中對機器學習技術進行了透徹的分析。他們提供了一個經過深思熟慮的分類法來對不同的機器學習方法進行分類。關于特征提取技術的部分對該主題進行了深入的探討。該綜述在廣泛分析機器學習技術方面表現出色,但在充分關注最新進展(如深度學習,特別是卷積神經網絡的使用)方面有所不足。此外,該綜述缺乏對當今研究人員面臨的當代挑戰的足夠重視。Naik等人在[155]中提供了基于圖像的惡意軟件分析的總體概述。作者討論了關于基于可視化惡意軟件檢測的綜述
表1:與現有綜述論文的比較
從數據集到評估的工作流程的主要步驟。納入的20篇分析論文也突顯了該研究的重要性。然而,必須承認本研究的局限性,例如缺乏對數據集和特征提取的深入分析。此外,值得注意的是,沒有討論諸如可解釋性和可持續性等當前問題。Gopinath等人[139]提出了一項全面的調查,涵蓋了廣泛的使用機器學習和深度學習技術的論文。該調查主要考察開發分類器的各種方法,而不是側重于基于圖像的可視化方法。作者詳細地解釋了每篇論文,很好地描述了每個模型的特征。該調查根據用于分類器的方法對出版物進行劃分,因此每篇論文只被命名和解釋一次。因此,很難提取所接收的信息并對特征提取和圖像生成的不同方法進行分類。此外,除了簡短的切題討論之外,作者沒有廣泛地深入研究該領域遇到的當代挑戰。
2.2 基于可視化的惡意軟件檢測綜述
Ahmad等人[138]綜述了基于可視化的惡意軟件檢測與分類。作者詳細回顧了現有的惡意軟件檢測方法,利用了機器學習和深度學習技術,并概述了十一種不同模型的實現。該綜述有效地識別了每個模型的關鍵組成部分,并采用簡潔的列表方法,便于它們之間的比較。然而,值得一提的是,我們對可視化方法的整個流程進行了徹底的分析。Shah等人在[186]中分析了基于可視化的惡意軟件分類模型。我們特別關注模型的計算性能。然而,至關重要的是要強調,本綜述中考慮的模型數量有限。因此,作者無法對基于可視化的惡意軟件分析的更廣泛領域提供深入的見解。Deldar等人[60]專門對零日惡意軟件的檢測進行了綜述。所采用的分類法巧妙地劃分了模型,使讀者能夠識別分類流程中每個步驟的可能選擇。然而,該綜述并未深入探討不同的可能性;相反,它只是呈現或簡要討論了它們。值得注意的是,它探討了零日分類中最受關注的主題,即對抗性攻擊和小樣本學習。作者沒有直接處理機器學習惡意軟件視覺分類中的現代問題,如可持續性和可解釋性。[249]中的研究人員將計算機視覺應用于網絡安全,廣泛涵蓋了網絡釣魚檢測、惡意軟件檢測和流量異常檢測。他們強調了其更廣泛的網絡安全意義,包括在物理安全和關鍵基礎設施保護中的應用,并將計算機視覺、機器學習和網絡安全聯系起來。然而,他們的研究缺乏對基于可視化的惡意軟件檢測的深入關注。相比之下,我們的研究提供了對可視化技術的詳細分析,從數據集收集、圖像類型、特征提取、分類方法、可解釋性、魯棒性評估以及惡意軟件檢測中的適應性開始。
3 方法論
在本研究中,我們設計了一種結構化的搜索策略,以根據我們綜述文章的目標收集有關基于可視化的惡意軟件檢測的相關研究。最初,我們探索了諸如 Google Scholar 和 Web of Science 等學術數據庫,并審查了諸如 SpringerLink、IEEE Xplore、ScienceDirect 和 ACM Digital Library 等信譽良好的存儲庫。搜索重點關注 2018 年至 2025 年的出版物,以確保對近期進展進行全面考察。初步的全局掃描顯示,在 2018 年之前,關于可視化驅動的惡意軟件檢測的研究仍然有限,只有少數值得注意的出版物。因此,我們選擇了一個為期七年的時間范圍進行分析,以捕捉最相關和最新的作品。最近,基于可視化的惡意軟件檢測研究迅速擴展,推動了該領域的重大創新。
我們通過使用特定關鍵詞制定搜索查詢來確保全面的覆蓋范圍。主要搜索詞包括“惡意軟件可視化”和“基于圖像的惡意軟件檢測”。為了優化我們的搜索,我們加入了額外的術語,例如“深度學習”、“從惡意軟件圖像中提取特征”、“機器學習”、“視覺Transformer”、“惡意軟件圖像中的對抗魯棒性”、“混淆”、“可解釋性”和“可持續性”。這種方法涵蓋了與惡意軟件可視化和分類相關的廣泛研究。圖 1 以PRISMA流程圖的形式直觀地展示了我們的研究選擇過程,詳細說明了我們在最終綜述中識別、篩選、排除和納入的研究數量。
圖1:PRISMA流程圖
3.1 選擇和過濾標準
本節闡述了我們評估基于可視化惡意軟件檢測的綜述中所考慮的學術論文的質量和相關性的方法。當文章滿足至少一個納入標準且未被任何排除標準取消資格時,將被選中。我們通過以下選擇標準評估論文的適用性。
3.1.1 納入指南
我們基于以下選擇標準評估一篇論文是否適合納入本綜述文章:
? 根據Scimago和Core.edu排名,出版場所的重要性和可信度。
? 通過Google Scholar和Scopus上的排名來衡量引用影響力。
? 出版日期。 特別是,我們優先考慮近期的研究,特別是最近六年內發表的研究。
? 對惡意軟件可視化貢獻的意義。
3.1.2 排除準則
我們同時排除符合以下任何條件的研究。
表2:本文中使用的首字母縮略詞列表
4 背景
網絡安全中的一項重要任務是對惡意軟件進行家族分類。這項任務對于根據惡意軟件的特征和行為對其進行分類至關重要,使研究人員能夠了解其功能并制定有效的對策。它還可以揭示攻擊者技術的趨勢,從而指導主動預防策略。惡意軟件分類不同于惡意軟件檢測,后者識別系統中是否存在惡意軟件。惡意軟件分類對各種類型的惡意軟件進行分類和組織。相比之下,惡意軟件檢測直接識別特定的惡意軟件實例,從而可以及時干預以防止或最大程度地減少其影響。在分析惡意軟件時,研究人員可以使用不同的技術來幫助探索惡意代碼的結構和行為。這些技術大致分為兩大類:(i)動態分析和(ii)靜態分析。安全研究人員必須應對廣泛的惡意軟件活動帶來的挑戰,并識別和防范新的和舊的惡意軟件。然而,面對不斷演變的惡意軟件[13],傳統的基于簽名的惡意軟件分析方法已不再足夠。攻擊者使用越來越復雜的規避檢測技術,例如多態和變形惡意軟件,它們可以改變其代碼以避免簽名檢測。因此,越來越需要新的和先進的方法來分析惡意軟件,包括行為分析,以及集成(i)機器學習和深度學習。這些技術可以更深入地了解惡意軟件的行為及其對系統的影響,從而使分析人員能夠更有效地識別和應對威脅。
4.1 靜態分析
靜態分析是惡意軟件分析中使用的一種技術,它涉及檢查惡意程序的二進制文件或代碼,而不執行它。這種方法側重于分析惡意軟件樣本的結構和內容方面,以識別潛在的惡意行為,并在不直接執行的情況下了解其操作機制。靜態分析的常用工具包括反匯編器、反編譯器和調試器,這些工具便于提取惡意軟件用于執行惡意操作的指令,例如數據竊取、系統修改或傳播。此外,靜態分析能夠識別入侵指標(IOC),例如文件名、網絡流量模式、注冊表項以及與惡意軟件相關的其他屬性。通過檢查代碼或二進制文件,研究人員可以提取簽名或行為模式,以幫助檢測系統上是否存在惡意軟件[158]。基于可視化的惡意軟件檢測綜述
簽名可以通過識別匹配的模式來檢測系統中的惡意軟件[219]。本調查中探討的一種便捷方法是通過圖像可視化靜態分析提取的信息,這主要是因為同一惡意軟件的變體之間存在視覺相似性。使用圖像有助于研究人員獲得整個惡意軟件的全局視圖,而不會丟失局部細節。結合特征提取器和機器學習模型可以利用這一特性來實現準確的分類和檢測結果。
4.2 動態分析
動態分析是一種通過在安全可控的環境(如沙盒或虛擬機)中執行惡意軟件來檢查其行為的技術。與靜態分析(在不運行代碼的情況下檢查代碼)不同,動態分析允許直接觀察惡意軟件與操作系統和網絡資源的交互。在線沙盒平臺,包括Any.Run [73]、VirusTotal [194]、Joe Sandbox [104]、Cuckoo Sandbox [51]和Hybrid Analysis [10],為惡意軟件的安全執行和生成詳細的行為報告提供了自動化環境。安全分析師使用監控工具,如系統監視器、網絡分析器和調試器,來檢測惡意活動,如文件創建、系統修改或與命令和控制(C2)服務器的通信。此外,動態分析揭示了規避技術,如反調試或反虛擬化策略[45],從而提高了對復雜惡意軟件的理解。通過在隔離環境中分析惡意軟件行為,分析師可以更準確地評估惡意代碼的性質和潛在威脅。此外,可以通過可視化技術來增強動態分析,其中運行時行為數據被轉換為基于圖像的表示,從而有助于更清晰的解釋和有效處理新興的惡意軟件變種。
4.3 機器學習
機器學習已成為惡意軟件分析中的一種基本方法,能夠根據惡意軟件固有的特征和行為自動分類和檢測惡意軟件[207]。通過檢查各種特征,包括文件屬性(如大小和類型)、系統交互、網絡活動和其他指標,機器學習算法可以有效地區分良性和惡意軟件。ML模型在動態分析期間監視惡意軟件的運行時行為,通過檢查其與系統組件和網絡通信的交互來檢測惡意模式。在靜態分析中,這些算法評估代碼結構和二進制文件以檢測惡意模式。深度學習,特別是深度神經網絡 (DNN) 的采用,代表了該領域的一項重大進步。在過去的十年中,深度學習技術因其在包括圖像識別和自然語言處理在內的各個領域的卓越性能而備受關注。卷積神經網絡 (CNN) 通過在惡意軟件可視化方面提供優于傳統機器學習模型的性能,從而在惡意軟件分析中表現出色。盡管 DNN 依賴于大量的計算資源和廣泛的數據集,但它們在改進惡意軟件檢測和分類方面具有巨大的潛力。
4.4 惡意軟件可視化
惡意軟件可視化是一種分析技術,它將惡意軟件的行為和特征轉化為視覺表現形式,從而促進對其進行分析和分類。可視化提供了系統和網絡活動的清晰視圖,幫助分析人員識別模式、發現連接并檢測可能的攻擊路徑。可視化技術生成不同惡意軟件屬性的圖形表示,包括網絡交互、文件操作和系統調用。通過檢查這些視覺表示,分析人員可以深入了解惡意軟件的運行技術,例如規避策略和利用的漏洞。除了幫助惡意軟件檢測和分析外,可視化還可以通過將惡意軟件樣本描繪為圖像來增強分類任務,從而有助于區分各種毒株。此外,惡意軟件可視化有助于識別相關惡意軟件樣本之間的細微差異。由于惡意軟件作者經常生成具有輕微代碼修改的新變種,因此可視化有效地捕獲了這些差異,從而有助于檢測相關毒株。通過利用惡意軟件行為的視覺表示并結合機器學習技術,專家可以有效地識別惡意軟件樣本中相似和不同的模式,從而促進對新的或以前未知的威脅進行分類。
:解釋器風格)
